Изменения документа Docker

Редактировал(а) atsarkov 18.04.2025 10:04
От версии 99.1
отредактировано atsarkov
на 20.06.2024 10:06
Изменить комментарий: К данной версии нет комментариев
К версии 81.1
отредактировано omaltsev
на 01.10.2021 21:10
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Родительский документ
... ... @@ -1,1 +1,1 @@
1 -ОСнова.Состав_и_ПО.WebHome
1 +ОСнова.Состав и ПО.WebHome
Автор документа
... ... @@ -1,1 +1,1 @@
1 -XWiki.atsarkov
1 +XWiki.omaltsev
Содержимое
... ... @@ -1,31 +1,20 @@
1 1  = Установка =
2 2  
3 -{{code language="none"}}
4 -$ sudo apt install docker.io
5 -{{/code}}
6 -
3 +{{code language="bash"}}$ sudo apt install docker.io{{/code}}
7 7  Добавить пользователя в группу docker, перелогиниться.
5 +{{code language="bash"}}$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ{{/code}}
8 8  
9 -{{code language="none"}}
10 -$ sudo usermod -aG docker ПОЛЬЗОВАТЕЛЬ
11 -{{/code}}
7 += Работа в условиях замкнутой программной среды =
12 12  
13 -= Работа в условиях замкнутой программной среды (ЗПС) =
9 +Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова в условиях [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]] состоят в следующем:
14 14  
15 -Особенности работы [[docker>>https://ru.wikipedia.org/wiki/Docker]]-контейнеров в ОС ОСнова в условиях [[замкнутой программной среды (ЗПС)>>doc:ОСнова.СЗИ.Замкнутая_программная_среда_(ЗПС).WebHome]] состоят в следующем:
16 -
17 -Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая_программная_среда_(ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
18 -
19 -{{code language="none"}}
20 -$ setfattr --restore=<файл дампа>
21 -{{/code}}
22 -
11 +Если контейнер не базируется на ОС ОСнова, для работы в режиме [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]], все его содержимое должно быть подписано. Это возможно сделать через наложение дампа:
12 +{{code language="bash"}}$ setfattr --restore=<файл дампа>{{/code}}
23 23  либо через подпись всех файлов экспортированного контейнера с последующей запаковкой (с учетом расширенных атрибутов) и импортом.
24 -Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] :
25 -
26 -{{code language="none"}}
27 -$ docker pull alpine
28 -$ mkdir /tmp/alpine
14 +Например, рассмотрим [[Alpine Linux>>https://alpinelinux.org/]] (выполнять при отключенной [[ЗПС>>doc:ОСнова.СЗИ.Замкнутая программная среда (ЗПС).WebHome]]):
15 +{{code language="bash"}}$ docker run -it --rm --name alpine alpine ash{{/code}}
16 +В отдельной консоли:
17 +{{code language="bash"}}$ mkdir /tmp/alpine
29 29  $ cd /tmp/alpine
30 30  $ docker export - alpine | tar - -x
31 31  $ for f in `find . -type f`
... ... @@ -34,70 +34,37 @@
34 34  done
35 35  $ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima \
36 36   --xattrs-include=security.NESSCTX \
37 - -C /tmp/alpine -c . | docker import - alpine-signed
38 -{{/code}}
26 + -C /tmp/alpine -c . | docker import - alpine-signed{{/code}}
39 39  
40 40  = Работа в условиях механизма зашиты памяти MPROTECT =
41 41  
42 -В контейнерах, которые не базируются на ОС ОСнова, некоторое ПО, например [[Java>>https://ru.wikipedia.org/wiki/Java]], не будет функционировать корректно на хосте под управлением ОС ОСнова с включенным механизмом [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита_памяти.WebHome]]. Существует несколько способов решения данной проблемы:
30 +В контейнерах, которые не базируется на ОС ОСнова, некоторое ПО, например [[Java>>https://ru.wikipedia.org/wiki/Java]], не будет функционировать корректно на хосте под управлением ОС ОСнова с включенными механизмами [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. Существует несколько способов решения данной проблемы:
43 43  
44 -1. Полное [[отключение механизма защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита_памяти.WebHome]] путем добавления параметра ##mprotect=off## в командную строку ядра.
45 -1. Установка в контейнер **paxrat** или ручная разметка исключений через:
46 -
47 -{{code language="none"}}
48 -$ sudo setfattr -n user.pax.flags -v m <filename>
49 -{{/code}}
50 -
51 -или через наложение дампа:
52 -
53 -{{code language="none"}}
54 -$ sudo setfattr --restore=<dump>
55 -{{/code}}
56 -
57 -(% start="3" %)
58 -1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**; [[Пример настройки Alpine и paxctl>>https://wiki.alpinelinux.org/wiki/Installing_Oracle_Java]] . Например, следующие инструкции в Dockerfile устанавливают paxctl, Java и проставляют исключение MPROTECT на файл /usr/bin/java:
59 -
60 -{{code language="none"}}
61 -FROM alpine
62 -RUN apk update
63 -RUN apk add paxctl
64 -RUN apk add openjdk10
65 -RUN paxctl -cm /usr/bin/java
66 -{{/code}}
67 -
68 -(% start="4" %)
69 -1. Запуск **всех** контейнеров с контекстом, отключающим механизм [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита_памяти.WebHome]]. Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
70 -
71 -{{code language="none"}}
72 -NESSCTX=t=30,50
73 -{{/code}}
74 -
32 +1. Установка в контейнер **paxrat** или ручная разметка исключений через
33 +{{code language="bash"}}$ sudo setfattr -n user.pax.flags -v m <filename>{{/code}}
34 +или через наложение дампа
35 +{{code language="bash"}}$ sudo setfattr --restore=<dump>{{/code}}
36 +1. Использование (если в ОС образа контейнера отсутствует **paxrat**) устаревших утилит **paxctl** и/или **chpax**;
37 +1. Запуск **всех** контейнеров с контекстом, отключающим механизмы [[защиты памяти MPROTECT>>doc:ОСнова.СЗИ.Защита памяти.WebHome]]. Для этого в файле **/lib/systemd/system/docker.service** в конце секции **[Service]** дописать:
38 +{{code language="bash"}}NESSCTX=t=30,50{{/code}}
75 75  И перечитать конфигурацию, перезапустить [[docker>>https://ru.wikipedia.org/wiki/Docker]].
40 +{{code language="bash"}}$ sudo systemctl daemon-reload
41 +$ sudo systemctl restart docker{{/code}}
76 76  
77 -{{code language="none"}}
78 -$ sudo systemctl daemon-reload
79 -$ sudo systemctl restart docker
80 -{{/code}}
43 += Создание docker-образа на базе ОС ОСнова =
81 81  
82 -= Создание docker-образа на базе ОС ОСнова =
83 -
84 84  Для создания [[docker>>https://ru.wikipedia.org/wiki/Docker]]-образа на базе ОС ОСнова требуется наличие первого установочного диска, или его iso образа, или доступ к сетевому репозиторию (в этом случае диск не монтируется, в приведенной команде debootstrap заменить /mnt на адрес репозитория, например [[https:~~/~~/dl.nppct.ru/onyx/stable/repos/>>https://dl.nppct.ru/onyx/stable/iso/]]).
85 85  
86 -Создание docker-образа:
87 -
88 -{{code language="none"}}
47 +{{code language="bash"}}
89 89  $ sudo apt install debootstrap
90 90  $ sudo mount /dev/cdrom /mnt
91 91  (или $ sudo mount -o loop onyx-Version-disk1.iso /mnt)
92 92  $ mkdir /tmp/image
93 93  $ cd /tmp/image
94 -$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx file:///mnt
95 -$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | sudo docker import - onyx
53 +$ sudo debootstrap --variant=minbase --keyring /usr/share/apt/osnova.gpg --components=main,contrib,non-free onyx onyx /mnt
54 +$ sudo tar --xattrs-include=user.pax.flags --xattrs-include=security.ima --xattrs-include=security.NESSCTX -C onyx/ -c . | docker import - onyx
96 96  $ sudo umount /mnt
97 97  {{/code}}
98 98  
99 99  Запуск контейнера:
100 -
101 -{{code language="none"}}
102 -$ docker run -it --rm onyx bash
103 -{{/code}}
59 +{{code language="bash"}}$ docker run -it --rm onyx bash{{/code}}